国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

NGINX & PHP Cookie 會(huì)話中 PHPSESSID 缺少 HTTPOnly、Secure 屬性解決方案

2年前作者:sunsineq分類:Toy博客閱讀(21)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了NGINX & PHP Cookie 會(huì)話中 PHPSESSID 缺少 HTTPOnly、Secure 屬性解決方案。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

NGINX & PHP Cookie 會(huì)話中 PHPSESSID 缺少 HTTPOnly、Secure 屬性解決方案


1 / 說明
基于安全的考慮,需要給cookie加上Secure和HttpOnly屬性,HttpOnly比較好理解,設(shè)置HttpOnly=true的cookie不能被js獲取到,無法用document.cookie打出cookie的內(nèi)容。Secure屬性是說如果一個(gè)cookie被設(shè)置了Secure=true,那么這個(gè)cookie只能用https協(xié)議發(fā)送給服務(wù)器,用http協(xié)議是不發(fā)送的。
會(huì)話cookie中缺少Secure屬性會(huì)導(dǎo)致攻擊者可以通過非HTTPS頁面竊取到用戶的cookie信息,造成用戶cookie信息的泄露。
cookie中的Secure指的是安全性。通過設(shè)定cookie中的Secure,可以指定cookie是否只能通過https協(xié)議訪問。一般的cookie使用HTTP協(xié)議既可訪問,如果啟用Secure屬性,則瀏覽器僅僅會(huì)在HTTPS請(qǐng)求中向服務(wù)端發(fā)送cookie內(nèi)容。
在WEB應(yīng)用中,對(duì)于敏感業(yè)務(wù),如:登錄或者付款,需要使用HTTPS來保證內(nèi)容的傳輸安全,而在用戶成功獲得授權(quán)之后,獲得的客戶端身份cookie如果沒有設(shè)置為Secure,那么很有可能會(huì)被非HTTPS頁面拿到,從而造成重要的身份泄露。

2 / PHP解決方案
PHP 5.6以后的版本:
① 簡(jiǎn)單粗暴直接修改php.ini文件
session.cookie_httponly=true
session.cookie_secure =
② 在php代碼中使用ini_set函數(shù)設(shè)置
ini_set(“session.cookie_httponly”, 1);
(單一入口框架加載index.php 入口文件即可)

③在調(diào)用 session_start()之前調(diào)用 session_set_cookie_params()函數(shù)設(shè)置
如果是框架需要修改底層代碼,老框架推薦前兩個(gè)粗暴有效的方法。

<?php private function startSession($time = 3600, $ses = 'MYSES') { session_set_cookie_params($time); session_name($ses); session_start(); if (isset($_COOKIE[$ses])) #第五個(gè)參數(shù) 設(shè)置為true setcookie($ses, $_COOKIE[$ses], time() + $time, "/", true); } ?>

3 / Nginx解決方案
● cookie沒有使用http-only;
● cookie沒有攜帶secure屬性;
● http頭中需要配置“X-Frame-Options:SAMEORIGIN”;
以上這幾點(diǎn)可以通過nginx的配置來輕松實(shí)現(xiàn),具體方法就是在需要更改的網(wǎng)頁server的配置里面添加下面幾句話。

## 加載Nginx.conf 文件 http{ } 或 server{ }
add_header Set-Cookie “HttpOnly”;
add_header Set-Cookie “Secure”;
## 表示該頁面可以在相同域名頁面的 frame 中展示
add_header X-Frame-Options SAMEORIGIN;

NGINX & PHP Cookie 會(huì)話中 PHPSESSID 缺少 HTTPOnly、Secure 屬性解決方案

?

————————————————
版權(quán)聲明:本文為CSDN博主「Ba?cker」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/backerli/article/details/120465246文章來源地址http://www.zghlxwxcb.cn/news/detail-500647.html

到了這里,關(guān)于NGINX & PHP Cookie 會(huì)話中 PHPSESSID 缺少 HTTPOnly、Secure 屬性解決方案的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Cookie和會(huì)話安全

    Cookie時(shí)Web服務(wù)端發(fā)送給用戶但瀏覽器的一小段數(shù)據(jù),瀏覽器會(huì)存儲(chǔ)這些數(shù)據(jù)并且在后續(xù)發(fā)往服務(wù)器的請(qǐng)求中帶上它們。(是一種將數(shù)據(jù)存儲(chǔ)在客戶端的方式) First-Party Cookie,是指用戶當(dāng)前訪問的網(wǎng)站直接植入的Cookie,通常時(shí)網(wǎng)站用于正常功能的Cookie,便于使網(wǎng)站記住用戶的偏好

    2024年02月03日
    瀏覽(19)
  • 傳統(tǒng)項(xiàng)目基于tomcat cookie單體會(huì)話升級(jí)分布式會(huì)話解決方案

    傳統(tǒng)項(xiàng)目基于tomcat cookie單體會(huì)話升級(jí)分布式會(huì)話解決方案

    傳統(tǒng)撈項(xiàng)目基于servlet容器 cookie單體會(huì)話改造分布式會(huì)話方案 ##引入redis,spring-session依賴 ##修改配置文件 ##啟動(dòng)類加入EnableRedisHttpSession注解 ##原理 ##spring自動(dòng)配置spring.factories ##生成SessionRepositoryFilter過濾器對(duì)象 ##使用包裝的SessionRepositoryRequestWrapper的request?? SessionRepositoryResp

    2024年02月03日
    瀏覽(24)
  • 九、會(huì)話控制——cookie、session、token

    九、會(huì)話控制——cookie、session、token

    HTTP是一種無狀態(tài)協(xié)議,它沒有辦法區(qū)分多次的請(qǐng)求是否來自于同一個(gè)客戶端,無法區(qū)分用戶。而產(chǎn)品中又大量存在這樣的需求,所以我們需要通過會(huì)話控制來解決問題。 常見的會(huì)話控制有三種: (1)cookie (2)session (3)token cookie 是HTTP服務(wù)器發(fā)送到用戶瀏覽器并保存在本

    2024年02月11日
    瀏覽(27)
  • 客戶端會(huì)話跟蹤技術(shù) Cookie 淺談

    客戶端會(huì)話跟蹤技術(shù) Cookie 淺談

    用戶打開瀏覽器,第一次訪問 Web 服務(wù)器資源時(shí),會(huì)話建立,直到有一方斷開了連接則會(huì)話結(jié)束,例如瀏覽器或者服務(wù)器斷開。在一次會(huì)話中可以包含多次的請(qǐng)求和響應(yīng)。 上述的整個(gè)過程稱為會(huì)話。 例如,當(dāng)我們?cè)跒g覽器訪問一個(gè)網(wǎng)站時(shí),瀏覽器和這個(gè)網(wǎng)站服務(wù)器就建立了一

    2024年02月03日
    瀏覽(25)

  • Web會(huì)話跟蹤:Cookie與Session

    在Web應(yīng)用中,同一個(gè)瀏覽器與Web服務(wù)器的一次一系列的各種交互活動(dòng)稱為 會(huì)話 。而Web應(yīng)用往往需要對(duì)用戶進(jìn)行會(huì)話跟蹤,記錄用戶的狀態(tài)。下面簡(jiǎn)單介紹一下會(huì)話跟蹤技術(shù)Cookie與Session。 Cookie ,有時(shí)也用其復(fù)數(shù)形式 Cookies,是一個(gè)保存在用戶客戶端計(jì)算機(jī)中的簡(jiǎn)單的小型文本

    2024年02月19日
    瀏覽(17)

  • gin會(huì)話控制篇 - Cookie和Session

    HTTP是無狀態(tài)協(xié)議,服務(wù)器不能記錄瀏覽器的訪問狀態(tài),也就是說服務(wù)器不能區(qū)分兩次請(qǐng)求是否由同一個(gè)客戶端發(fā)出 Cookie就是解決HTTP協(xié)議無狀態(tài)的方案之一,中文是小甜餅的意思 Cookie實(shí)際上就是服務(wù)器保存在瀏覽器上的一段信息。瀏覽器有了Cookie之后,每次向服務(wù)器發(fā)送請(qǐng)求

    2024年01月21日
    瀏覽(24)

  • web學(xué)習(xí)--Cookie與Session會(huì)話技術(shù)

    1.概念:客戶端會(huì)話技術(shù),將數(shù)據(jù)保存在客戶端 使用步驟: 1,創(chuàng)建Cookie對(duì)象,綁定數(shù)據(jù) 2.發(fā)送Cookie對(duì)象 3.獲取Cookie,拿到數(shù)據(jù) WebServlet(\\\"/Demo1\\\") public class CookidDemo1 extends HttpServlet { ? ? @Override ? ? protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException

    2024年02月13日
    瀏覽(22)
  • Cookie和會(huì)話安全,編碼方式及其密文特征

    Cookie和會(huì)話安全,編碼方式及其密文特征

    (本文章僅支持本人學(xué)習(xí)使用,若造成不良影響,與本人無關(guān)!) ????????Cookie 是 Web 服務(wù)端發(fā)送給用戶瀏覽器的一小段數(shù)據(jù), 瀏覽器會(huì)存儲(chǔ)這些數(shù)據(jù) ,并在后續(xù)發(fā)往服務(wù)器的請(qǐng)求中帶上它們。 ????????Cookie 是一種將數(shù)據(jù)存儲(chǔ)在客戶端的方式,我們可以通過 Cookie 將用

    2024年01月20日
    瀏覽(15)
  • 會(huì)話跟蹤技術(shù)學(xué)習(xí)筆記(Cookie+Session)+ HTTP學(xué)習(xí)筆記

    會(huì)話跟蹤技術(shù)學(xué)習(xí)筆記(Cookie+Session)+ HTTP學(xué)習(xí)筆記

    1.1 Cookie 1. Cookie:是一種客戶端會(huì)話技術(shù),數(shù)據(jù)會(huì)被保存在客戶端,Cookie會(huì)攜帶數(shù)據(jù)訪問服務(wù)器,用以完成一次會(huì)話內(nèi)多次請(qǐng)求間的數(shù)據(jù)共享 2. 過程:瀏覽器(客戶端)先向服務(wù)端發(fā)送請(qǐng)求,服務(wù)端會(huì)發(fā)送一個(gè)Cookie給客戶端,在此后同一次會(huì)話中,每次客戶端都會(huì)將Cookie發(fā)送

    2024年02月10日
    瀏覽(26)
  • Servlet【 ServletAPI中的會(huì)話管理Cookie與Session】

    Servlet【 ServletAPI中的會(huì)話管理Cookie與Session】

    HTTP 協(xié)議自身是屬于 “無狀態(tài)” 協(xié)議. “無狀態(tài)” 的含義指的是: 默認(rèn)情況下 HTTP 協(xié)議的客戶端和服務(wù)器之間的這次通信, 和下次通信之間沒有直接的聯(lián)系.但是實(shí)際開發(fā)中, 我們很多時(shí)候是需要知道請(qǐng)求之間的關(guān)聯(lián)關(guān)系的. 例如登陸網(wǎng)站成功后, 第二次訪問的時(shí)候服務(wù)器就能知

    2024年02月09日
    瀏覽(60)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包